基于邊緣計算的鐵路無人值守站監測應用研究

劉晏伊，臧永立，朱超平

(中國鐵道科學研究院集團有限公司，北京 100081)

1 引言

自2005年始，鐵路行業的視頻監控系統逐步從硬盤攝像機發展到服務器存儲[1]。隨著鐵路信息化發展，鐵路視頻監控的應用需求大幅增加，成果顯著。針對入侵人員隱患，監控位圖分析可以有效觸發報警[2]。北京交通大學與蘭州鐵路局也聯合完成視頻入侵檢測報警專利發明[3]。隨著鐵路云平臺架構被搭建[4]，視頻監控應用借助與云計算的融合更有效的發揮作用。例如，針對“行人非法上道、沿線非法施工損壞鐵路設備設施、上跨橋及公鐵并行區段機動車肇事侵入線路”的安全隱患，鐵路利用熱成像原理成功研發了安全視頻監控和智能分析系統[5]。

由于鐵路行業每天所產生的數據均以T計，因此鐵路云平臺在數據存儲及計算方面的負荷極重，云計算傳統的結構正在變慢，視頻監測應用更多及普遍的搭載將給云平臺產生更大的壓力?；谝陨锨闆r，為減輕云平臺壓力、優化傳統云平臺結構，本文將以鐵路無人值守站視頻監測分析的云計算應用需求為例，引入邊緣計算，搭建基于“云-邊-端”協同的邊緣計算架構，實現無人值守站監測應用。與傳統的人員入侵視頻監測應用所不同的是，本文將聚焦于設備安全監測，使視頻監測更適合應用于無人值守站需求。

2 功能分析

2.1 視頻本地處理

各無人值守站視頻流的生成、采集、分析、管理等主要在本地無人值守站進行，跨區情況少。

2.2 視頻匯集處理

各局管區域有多處無人值守站，視頻監控流需要在局域邊緣節點統一聚集、分析及管理。處理包括視頻結構化提取及云上傳。

2.3 視頻AI分析

裝載分析算法，對視頻監控流的內容進行AI分析，判斷設備運轉是否正常，以滿足設備異常信息提取、告警上報等功能需求。

2.4 管理查看

云存儲的視頻保留90天，隨時于平臺上查看管理。

3 無人值守站云邊協同

邊緣計算(EC:Edge computing)是一種將主要處理過程和數據存儲放在網絡的邊緣節點的分布式計算形式[6]。邊緣計算是云計算的一部分，二者是互補協同的關系。采用邊緣計算可以將原有云數據中心(中心云)上運行的一些視頻分析以及計算任務分解，然后將分解的計算任務遷移到邊緣節點進行處理，由此降低云計算數據中心的計算負載，進而達到降低能耗的效果。在鐵路上已有將邊緣計算應用至高鐵移動通信中去減少時延的實例[7]。

在計算資源方面，增加邊緣計算、采用云邊協同將放大云計算與邊緣計算的優勢[8]。鐵路云計算中心關注整體，善于非實時、長周期的數據分析；邊緣計算聚焦局部，善于實時、短周期的數據分析。邊緣云應最大限度地與鐵路中心云采用同一架構、同一接口、同一管理[9]，將云計算的范圍拓展至離產生數據源更近的地方，從而彌補傳統架構的云計算在鐵路無人站監測應用場景中的不足。邊緣云計算將給鐵路云中心增加了分布式能力。在邊緣側部署部分業務邏輯并完成相關的數據處理，可以大大緩解將數據傳回中心云的壓力，為監測應用的實現提供可能性。圖1給出了本文的云邊協同框架，闡述了鐵路云中心與邊緣云之間的互補協同關系。

為有效地解決制藥類專業實驗教學中存在的問題，基于“一主二翼”(以新工科為一主體，以《工程教育專業認證標準》和《普通高等學校本科專業類教學質量國家標準》為新工科的二翼)思想，采用經典的OBE法和CDIO法[5]，從不同層次、不同側面、不同程度上對制藥工程專業實驗教學進行升級改造，強化實驗教學對于實踐教學的支撐作用，經過醫藥化工企業實踐和評價，進行持續改進。

圖1 無人值守站云邊協同框架

云平臺提供服務的三個層次分別為：軟件服務SaaS(Software-as-a-Service)、平臺服務PaaS(Platform as a Service)及基礎設施服務IaaS(Infrastructure as a Service)。邊緣計算同樣也不是單一的層次，而是涉及邊緣SaaS、邊緣PaaS及邊緣IaaS的端到端開放平臺[10]。在無人值守站云邊協同框架中，邊緣設備向邊緣服務器傳遞數據，邊緣服務器控制、反饋指令給邊緣設備。邊緣SaaS與云SaaS之間達成服務協同，邊緣PaaS與云PaaS之間達成數據、AI、管理協同，邊緣IaaS與云IaaS之間達成資源協同。

在存儲方面，對于以云為核心的存儲架構，所有的數據都需要傳輸到云數據中心，因此其對帶寬的需求是很大的。另一方面，在現實應用的監測應用中，并不是所有數據都需要長期保存[11]。例如，對于無人站監控的視頻數據僅保存數天、數周或數月。本文選擇利用邊緣存儲動態優化帶寬和傳輸內容質量。例如，在邊緣設備錄制高質量的監測視頻，而在遠程查看標準質量的監測視頻，甚至可以在網絡帶寬不受限制時才將錄制的高質量監測視頻同步到后端系統或云中心存儲中去。通過邊緣存儲和云存儲的有效結合，本文將一部分監測數據的存儲需求從中心轉移到邊緣。此舉可以更加合理有效地利用寶貴的網絡帶寬，并根據網絡帶寬的情況靈活優化資源的傳輸，使得現有網絡可以支撐更多邊緣計算節點的接入、降低成本。

4 無人值守站邊緣計算架構及關鍵算法

本文搭建了基于“云-邊-端”協同的邊緣計算架構，該架構由下至上分為三層功能結構：采集層、分析層和管理層。架構圖如圖2所示。

圖2 無人值守站“云-邊-端”協同的邊緣計算架構

其中，采集層包含無人值守站的邊緣設備及網絡設備，分析層包含各局管區域進行邊緣計算的邊緣節點，管理層則包含云數據中心，管理員使用平臺服務進行管理。下面將對各層傳遞數據過程及功能進行解釋。

4.1 采集層

采集層利用已配置的監控攝像頭及必要的網絡設備對各無人值守站的視頻數據進行采集，不需配備計算或存儲設備，各無人值守站以專線接入同一局管區域邊緣節點，實時上傳視頻監控流。

4.2 分析層

各局管區域邊緣節點為同局管區域無人值守站提供基礎設備，承載AI分析、視頻結構化解析及回放存儲等服務。視頻作為非結構數據一般被整體存儲為二進制的數據格式。邊緣節點以優化算法選擇最優公網鏈路，閑時上傳降幀視頻數據至云中心。分析層中，局管區域邊緣節點將采用基于深度學習的Faster RCNN算法對設備運行情況進行監測判斷，傳回告警信息至無人值守站節點，上傳告警結果至云平臺管理層。

4.2.1 最優公網鏈路選擇算法邏輯

最優公網鏈路選擇算法的目的是，選取鏈路時延小于或等于約束值的鏈路集合中傳輸代價最小的鏈路(約束值在本文中設置為30ms并簡化傳輸代價為影響最大的傳輸距離)。最優公網鏈路選擇算法以禁忌搜索算法[12]為基礎，利用其禁止到達或有選擇的到達曾經計算過的局部最優解，增大獲得全局最優鏈路解的概率。算法首先利用Dijkstra最短路徑算法[13]求出從當前邊緣節點至云中心的最小時延路徑P0作為算法初始解。其次，禁忌搜索算法求出前k(k=20)條局部最短路徑解，生成鄰域鏈路集。最后，從產生的鏈路集合中求出傳輸代價最小的鏈路解，判斷禁忌搜索算法中曾到達的局部最優解中是否有代價更小的鏈路解，若有，則替換當前最優鏈路解。按照上述算法邏輯，分析層將選取最優鏈路，以短時延、低傳輸代價向云中心上傳視頻流。

4.2.2 Faster RCNN監測分析算法邏輯

Faster RCNN監測分析算法的目的是，通過制作設備正常運行狀態的圖像訓練集，利用Faster RCNN模型在該數據集上進行輪流學習，則訓練完畢的模型即能以每15分鐘一次的頻率對視頻畫面中的設備運行是否正常進行24小時的比對監測。圖像訓練集收集各個角度、各個時間段光線下的設備指示燈、設備外觀數據，讓訓練模型更為合理。如圖3所示為監測算法流程圖，它包含了RPN網絡與Faster RCNN 算法的檢測結構兩個部分。Faster RCNN監測分析算法[14]首先把視頻圖形輸入至輸入端口，其后深度卷積神經網絡中的卷積層和池化層對輸入的視頻圖形進行卷積池化處理，從而可以得到輸入視頻圖形的卷積特征圖，接著將特征圖輸入經過RPN網絡以提取感興趣區域(設備運行指示燈區域)，將感興趣的區域經過感興趣區域池化區映射到對應特征圖的對應位置區域上，并對特征圖的對應位置區域采樣而得到一個固定大小的特征區域。給RPN網絡的卷積部分再加上分類層和定位層，最終輸入進入檢測部分的網絡。其中，RPN深度神經網絡的作用在于產生感興趣區域。

圖3 Faster RCNN模型結構圖

4.3 管理層

云中心對接各局管區域上傳數據，統一做報警管理、人工審核及重要數據的存儲等，可按需實時調取原始視頻流。

5 無人值守站邊緣計算架構信息安全技術

由于無人值守站邊緣計算具有分布式架構、實時性需求等特點，傳統云計算架構下的數據安全及隱私保護機制無法適用于邊緣設備產生的海量視頻數據防護。視頻數據的計算安全、存儲安全、共享安全、傳播和管控以及隱私保護等問題隨時間變得突出。

與傳統云計算的集中式存儲計算架構相比，無人值守站邊緣計算的安全性能存在特殊的優勢。第一，視頻數據是在離數據源最近的視頻邊緣節點上暫時存儲和分析，這種本地處理方式使得網絡攻擊方難以接近源數據；第二，數據源邊緣設備和云之間不存在實時信息交換，攻擊方難以感知任何用戶的私人數據。但是，無人值守站邊緣計算架構的安全性仍然面對諸多挑戰，例如邊緣設施安全、邊緣服務器安全、邊緣網絡安全和邊緣設備安全。要創立一個安全可用的邊緣計算架構，實施各種類型的安全保護機制至關重要。

本文架構擬采用數據保密、數據完整性、安全數據計算、身份認證、訪問控制及隱私保護的現有安全機制以保證無人值守站邊緣計算架構的信息安全。

5.1 數據保密

在邊緣計算架構中，用戶私有數據被外包到邊緣服務器，因此數據的所有權和控制權是分開的，用戶實際上失去了對外包出去的數據的物理控制。此外，存儲在外部的敏感數據也面臨著數據丟失、泄露等風險。為了解決這些威脅，本架構采用適當的基于身份的數據加密機制。該方案包括三個階段：發送方使用公鑰對接收方地址加密；接收方使用私鑰進行身份驗證；接收方解密獲取數據。加入基于身份加密的機制保護了視頻數據存儲的安全性。

5.2 數據完整性

數據完整性是邊緣計算架構安全性的重要指標。隨著用戶數據被外包到邊緣服務器，數據完整性可能會受到外包流程的影響。接收方將檢查數據的完整性和可用性，以確保沒有被任何未經授權的用戶或系統修改。本架構擬加入動態審計及批量審計，支持用戶在邊緣數據中心發送審計請求和批處理功能以檢查數據完整性。

5.3 安全數據計算

安全數據計算也是邊緣計算架構中的一個關鍵問題。來自終端的敏感數據通常以密文形式外包到邊緣服務器。在這種情況下，用戶必須在加密數據文件中進行關鍵字搜索。本架構擬采用安全排名可搜索加密方法，支持通過關鍵字在加密數據中進行安全搜索而不需要執行解密操作。安全排名的關鍵字搜索方案可以通過一定的相關標準和索引獲得正確的搜索結果。

5.4 身份認證

如果沒有任何身份驗證機制，外部攻擊方將有很大可能訪問服務基礎架構的敏感資源，內部攻擊者則可以通過其合法訪問權限以擦除惡意訪問的記錄。基于這種情況下，本架構擬采用必要的身份驗證實施方法，盡量減少內部威脅和外部威脅。目前，合適的認證方法包括單域認證、跨域認證。單域認證用于解決每個實體的身份分配問題，架構中的用戶在獲得數據查看或管理服務前從授權中心進行身份驗證?？缬蛘J證則是使無人值守站邊緣計算架構中的邊緣計算服務器可互相認證，使用云中心動態產生的密鑰認證。

5.5 訪問控制

為防止邊緣服務器被惡意用戶訪問、濫用、修改虛擬化資源，本文架構擬采用基于屬性訪問控制與基于角色訪問控制結合的機制保證訪問控制的安全性[15]。此機制在每次訪問產生密鑰的同時將用戶與權限之間使用角色進行劃分，每一種角色對應一組權限。采取這樣的機制可以減少創建用戶時進行權限分配的操作，只需要分配對應角色即可。

5.6 隱私保護

在邊緣計算架構中，隱私保護問題尤為重要。邊緣數據中心、基礎設施提供商、服務提供商，甚至授權用戶等也許會為了各自的利益獲取、泄露用戶敏感信息。針對隱私保護，本架構首先利用邊緣服務器和傳感器設備從終端設備收集敏感數據，提供數據加密而無須解密。其次，在身份驗證和管理期間對身份信息提供加密保護。最后，用戶的位置信息同樣屬于隱私保護的范疇，LP-doctor細粒度位置訪問控制工具[16]提供了一種可以生成假位置以確保位置匿名的方法。

6 結語

隨著中國率先走入5G時代，中國鐵路信息化改革也已經走上軌道，更多的鐵路智能化應用被開發建設。本文以鐵路無人值守站視頻監控應用作為啟發，提出有別于人員監控識別的車站設備安全識別概念，創新性的為鐵路云計算應用融入邊緣計算架構，給出邊緣節點關鍵算法邏輯及信息安全分析。本文所搭建的邊緣計算架構可以有效節省帶寬，加入在邊緣節點的AI監測分析計算后，與視頻流未經計算全量上傳云端計算相比預計節省50%-70%的回源帶寬。在局域邊緣節點完成計算也為本地提供更多的鐵路云服務、保證監控視頻數據傳輸的可靠性。本文下一步將完善算法模型，加入實際考慮中除了傳輸距離以外的因素，使模型更加精密。